GLOBALNE ZOBOWIĄZANIA W ZAKRESIE OCHRONY PRYWATNOŚCI
OSTATNIA AKTUALIZACJA: 12 marca 2024
- Niniejsze Globalne zobowiązania w zakresie ochrony prywatności („Globalne zobowiązania w zakresie ochrony prywatności”) ustanawiają określone zobowiązania w zakresie ochrony danych, których spełnienia oczekujemy od naszych sprzedawców i innych partnerów (zwanych łącznie „Partnerami”) w związku z dostarczaniem przez nich produktów i usług na naszą rzecz. Niniejsze Globalne zobowiązania w zakresie ochrony prywatności są uzupełnieniem i stanowią część każdej umowy, którą zawieramy z naszymi Partnerami, do której niniejsze Globalne zobowiązania dotyczące ochrony prywatności zostały włączone („Umowa”).
- W zależności od naszej relacji z Partnerem zastosowanie mają różne części niniejszych Globalnych zobowiązań w zakresie ochrony prywatności. Każda sekcja określa, kiedy ma zastosowanie.
- Niniejsza sekcja dotyczy wszystkich Partnerów.
- Dla celów niniejszych Globalnych zobowiązań w zakresie ochrony prywatności, poniższe terminy mają następujące znaczenie:
- O ile w Umowie nie określono inaczej, „SI” bądź „sztuczna inteligencja” oznacza i obejmuje wszystkie formy sztucznej inteligencji lub technologii informacyjnej, niezależnie od zastosowanych konkretnych technik albo metodologii, mające możliwość wykonywania zadań, symulacji zdolności poznawczych przypominających ludzkie lub generowania wyników, takich jak zawartość, prognoza, podpowiedzi lub decyzje. Obejmuje to m.in. technologie i metodologie, takie jak uczenie maszynowe (nadzorowane, nienadzorowane i uczenie przez wzmacnianie, w tym uczenie głębokie i sieci neuronowe), generatywna sztuczna inteligencja, przetwarzanie języka naturalnego, rozpoznawanie obrazu, duże modele językowe („LLM”), podejścia oparte na logice i wiedzy (w tym reprezentacja wiedzy, indukcyjne programowanie logiczne, bazy wiedzy, silniki wnioskowania, silniki dedukcji, wnioskowanie i systemy eksperckie), a także techniki statystyczne. SI obejmuje wszystkie aktualne i przyszłe nowe rozwiązania, metodologie i zastosowania w dziedzinie sztucznej inteligencji, a także wszelkie inne technologie niewymienione wyraźnie we wzmiankowanym dokumencie, które są rozwijane lub dopiero pojawią się w rzeczonej dziedzinie;
- „Treści wygenerowane przez SI” oznaczają wyniki wygenerowane przez SI na podstawie wydanych poleceń;
- „Zautomatyzowane podejmowanie decyzji” oznacza decyzję dotyczącą Osoby, której dane dotyczą, podejmowaną z wykorzystaniem dowolnego systemu, oprogramowania lub procesu (w tym również w wyniku wykorzystania SI) całkowicie bez zaangażowania człowieka bądź ułatwiającą podejmowanie decyzji przez ludzi;
- „Administrator” oznacza osobę lub podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby Przetwarzania Danych osobowych;
- „Klient”, „my”, „nas” i „nasz” oznaczają: (i) podmiot Warner Bros. Discovery określony w Umowie i będący jej stroną; oraz (ii) wszelkie podmioty stowarzyszone lub zależne, które kontrolują, są kontrolowane przez lub znajdują się pod wspólną kontrolą z Warner Bros. Podmiot Discovery wskazany w Umowie;
- „Prawo ochrony danych” oznacza każdą federalną, stanową, prowincjonalną, lokalną, gminną, zagraniczną, międzynarodową, wielonarodową lub inną konstytucję, ustawę, statut, traktat, zasadę, rozporządzenie, zarządzenie, kodeks oraz wytyczne wydane przez organy regulacyjne właściwe do interpretacji lub egzekwowania tychże, odnoszące się do Przetwarzania Danych osobowych, prywatności, ochrony danych (ochrony Danych osobowych) lub cyberbezpieczeństwa, z ewentualnymi zmianami od czasu do czasu;
- „Osoba, której dane dotyczą” oznacza osobę fizyczną, której dotyczą Dane osobowe;
- „Żądanie Osoby, której dane dotyczą” oznacza żądanie Osoby, której dane dotyczą dotyczące informacji o danych, dostępu do nich, ich sprostowania, usunięcia, ograniczenia, możliwości przenoszenia, sprzeciwu, zakazu sprzedaży, usunięcia i wszelkie inne podobne żądania;
- „Opis przetwarzania” oznacza opis sposobu Przetwarzania Danych osobowych przez Partnera na podstawie Umowy;
- „EOG” oznacza Europejski Obszar Gospodarczy;
- „Transfer danych z EOG” oznacza przekazanie Danych osobowych: (a) podlegających RODO; (b) do odbiorcy w kraju lub na terytorium poza EOG; (c) które to kraj lub terytorium nie są uznane przez Komisję UE za zapewniające adekwatny poziom ochrony danych;
- „Standardowe klauzule umowne EOG” oznaczają standardowe klauzule umowne dotyczące przekazywania Danych osobowych do państw trzecich zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 przyjętym decyzją Komisji Europejskiej z dnia 4 czerwca 2021 r. nr C(2021) 3972, dostępnym pod adresem https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?url=CELEX:32021D0914&locale= en;
- „RODO” oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku (Ogólne rozporządzenie o ochronie danych);
- „Zobowiązania w zakresie bezpieczeństwa informacji” oznaczają wszelkie obowiązujące zobowiązania w zakresie bezpieczeństwa informacji, które są dołączone do Umowy lub w inny sposób stanowią jej część;
- „Inny Transfer danych” oznacza transfer Danych osobowych: (i) który podlega prawu kraju, który ogranicza transfer Danych osobowych do innego kraju, który nie jest uznawany za odpowiedni do odbioru takich Danych osobowych („Kraj ograniczający”); oraz (ii) który nie jest Transferem danych w EOG lub Transferem danych z Wielkiej Brytanii;
- „Dane osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, w tym wszelkie informacje zdefiniowane jako „informacje umożliwiające identyfikację osoby”, „informacje osobowe”, „dane osobowe” lub podobne terminy, zgodnie ze znaczeniem nadanym im w definicjach w Prawie ochrony danych, ograniczone do tych Danych osobowych, które Partner Przetwarza w związku z Umową;
- „Przetwarzanie" oznacza jakąkolwiek operację lub zestaw operacji wykonywanych na Danych osobowych, w sposób zautomatyzowany lub nie, w tym zbieranie, utrwalanie, organizowanie, strukturyzowanie, przechowywanie, dostosowywanie lub zmienianie, konsultowanie, wykorzystywanie, ujawnianie przez przesyłanie, przekazywanie, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie Danych osobowych;
- „Przetwarzający” oznacza osobę lub podmiot, który Przetwarza Dane osobowe w imieniu Administratora;
- „Incydent bezpieczeństwa” oznacza: (i) wszelkie nieuprawnione pozyskanie, utratę, dostęp, wykorzystanie lub niewłaściwe wykorzystanie, utratę dostępu do Danych osobowych lub utratę możliwości korzystania z nich (w tym utratę wszelkich nośników pamięci, na których przechowywane są Dane osobowe); lub (ii) wszelkie naruszenie bezpieczeństwa prowadzące do przypadkowego lub bezprawnego zniszczenia, utraty, zmiany, wykorzystania lub niewłaściwego wykorzystania, nieuprawnionego ujawnienia lub dostępu do Danych osobowych;
- „Wrażliwe Dane osobowe" oznaczają Dane osobowe ujawniające pochodzenie rasowe lub etniczne; poglądy polityczne; przekonania religijne lub filozoficzne; przynależność do związków zawodowych; zdrowie fizyczne lub psychiczne; życie seksualne lub orientację seksualną; Przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznej identyfikacji Osoby, której dane dotyczą; Dane osobowe dotyczące wyroków karnych i przestępstw lub powiązanych środków bezpieczeństwa; numer identyfikacyjny nadany przez rząd; dane uwierzytelniające do konta; numery kont finansowych, w tym numery kart płatniczych; dokładne dane geolokalizacyjne; treść komunikatów nieskierowanych do Partnera lub Klienta; oraz takie podzbiory Danych osobowych, które są uważane za „wrażliwe” lub wymagają zwiększonej ochrony na mocy obowiązującego Prawa ochrony danych;
- „Usługi” mają znaczenie nadane w Umowie lub, jeśli nie zostały zdefiniowane w Umowie, oznaczają produkty lub usługi świadczone przez Partnera na naszą rzecz na podstawie Umowy;
- „Podprzetwarzający” oznacza osobę lub podmiot, który Przetwarza Dane osobowe w imieniu Przetwarzającego;
- „Dane szkoleniowe” oznaczają informacje używane do szkolenia lub doskonalenia bądź usprawniania możliwości dowolnej sztucznej inteligencji w inny sposób;
- „Transfer danych z Wielkiej Brytanii” oznacza przekazanie Danych osobowych: (a) podlegających RODO Wielkiej Brytanii; (b) do odbiorcy w kraju lub na terytorium poza Wielką Brytanią; oraz (c) które to kraj lub terytorium nie podlega decyzji Sekretarza Stanu Wielkiej Brytanii stwierdzającej odpowiedni poziom ochrony danych;
- „RODO Wielkiej Brytanii” oznacza RODO w wersji stanowiącej część prawa Anglii i Walii, Szkocji i Irlandii Północnej na mocy sekcji 3 ustawy o wystąpieniu (withdrawal) z Unii Europejskiej z 2018 r.; oraz
- „Dodatek UK do SCC” oznacza szablonowe uzupełnienie wydane przez brytyjskie Biuro Komisarza ds. Informacji i przedstawione Parlamentowi zgodnie z s119A Ustawy o ochronie danych z 2018 r. w dniu 2 lutego 2022 r., w wersji zmienionej zgodnie z sekcją 18, dostępne pod adresem https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.
- Niniejsza sekcja dotyczy wszystkich Partnerów.
- Zgodność z prawem. Partner będzie przestrzegał wszystkich obowiązujących przepisów Prawa ochrony danych i zapewni ochronę prywatności odpowiednią do swoich obowiązków wynikających z tych przepisów. Jeśli Partner stwierdzi, że nie może dłużej spełniać swoich obowiązków wynikających z Prawa ochrony danych, powiadomi o tym Klienta na adres wbdprivacy@wbd.com. Klient będzie miał prawo podjąć odpowiednie kroki w celu wyeliminowania i naprawienia wszelkich nieuprawnionych przypadków Przetwarzania Danych osobowych przez Partnera.
- Bezpieczeństwo. Partner wdroży i utrzyma środki techniczne i organizacyjne właściwe i odpowiednie do ochrony Danych osobowych. Środki bezpieczeństwa Partnera powinny być zaprojektowane w taki sposób, aby: (i) zapewniały poufności, dostępność i integralności Danych osobowych; (ii) ochrony przed wszelkimi przewidywanymi zagrożeniami lub niebezpieczeństwami dla bezpieczeństwa lub integralności Danych osobowych; oraz (iii) ochrony przed nieuprawnionym Przetwarzaniem.
- Komunikacja z podmiotami zewnętrznymi. W przypadku, gdy Partner otrzyma jakiekolwiek wystąpienie od osoby fizycznej, regulatora, organu władzy lub innego podmiotu zewnętrznego dotyczącą:
- Przetwarzania przez Partnera Danych osobowych w związku z Umową; lub
- Przetwarzania przez Klienta Danych osobowych,
Partner (o ile nie jest to zabronione przez prawo) niezwłocznie powiadomi Klienta (na adres wbdprivacy@wbd.com), podając pełne szczegóły takiego wystąpienia i podejmie wszelką współpracę, o którą zasadnie poprosi Klient, aby na nie odpowiedzieć. Partner nie będzie odpowiadał na takie wystąpienie bezpośrednio bez uprzedniego upoważnienia Klienta, chyba że zostanie do tego zmuszony przez prawo.
- Reakcja na zgłoszenia i incydenty. Partner nie będzie, bez uzyskania uprzedniej pisemnej zgody Klienta, wymieniać nazwy Klienta (w tym jakiejkolwiek spółki zależnej lub stowarzyszonej z Klientem) w jakiejkolwiek: (i) odpowiedzi dla Osoby, której dane dotyczą; (ii) publicznym ujawnieniu odnoszącym się do Przetwarzania; (iii) zawiadomieniu o Incydencie bezpieczeństwa; lub (iv) ujawnieniu organowi ochrony danych lub innemu organowi prawnemu odnoszącemu się do Przetwarzania.
- Termin i postanowienia zachowujące moc obowiązującą po rozwiązaniu umowy.
- Postanowienia niniejszych Globalnych zobowiązań w zakresie ochrony prywatności wygasną, gdy Partner przestanie Przetwarzać Dane osobowe w związku z Umową.
- Niezależnie od odmiennych postanowień niniejszej sekcji 3 (Warunki dla wszystkich Partnerów), sekcje 3.4, 3.5, 3.8 i 7 pozostają w mocy po rozwiązaniu lub wygaśnięciu Umowy i niniejszych Globalnych zobowiązań w zakresie ochrony prywatności.
- Tłumaczenia. W przypadku sprzeczności pomiędzy angielską wersją językową niniejszych Globalnych zobowiązań w zakresie ochrony prywatności a inną wersją w jakimkolwiek innym języku, angielska wersja językowa będzie rozstrzygająca.
- Brak ograniczenia odpowiedzialności. Dla uniknięcia wątpliwości, zobowiązania stron w ramach niniejszych Globalnych zobowiązań w zakresie ochrony prywatności nie podlegają żadnym ograniczeniom lub wyłączeniom odpowiedzialności zawartym w Umowie.
- Brak partnerstwa. Żadne z postanowień niniejszych Globalnych zobowiązań w zakresie ochrony prywatności nie będzie uważane za tworzące stosunek pracy, joint venture, agencję lub partnerstwo między stronami, a żadna ze stron nie jest upoważniona ani nie będzie działać wobec jakiejkolwiek strony trzeciej, podmiotu indywidualnego lub opinii publicznej w jakikolwiek sposób, który wskazywałby na taki stosunek wobec drugiej strony.
- Niniejsza sekcja ma zastosowanie w następującym zakresie:
- Partner Przetwarza jakiekolwiek Dane osobowe jako Przetwarzający w imieniu Klienta; lub
- Umowa wyraźnie stwierdza, że niniejsza sekcja ma zastosowanie.
- Instrukcje. Partner będzie Przetwarzać Dane osobowe wyłącznie zgodnie z udokumentowanymi instrukcjami Klienta (chyba, że Przetwarzanie takich Danych osobowych będzie wymagane zgodnie z wymogiem prawnym, któremu podlega Partner, w którym to przypadku Partner poinformuje Klienta o wymogu prawnym przed rozpoczęciem takiego Przetwarzania, chyba, że wymóg prawny zabrania informowania o tym Klienta). Udokumentowane instrukcje Klienta dotyczą Przetwarzania Danych osobowych: (i) w zakresie niezbędnym dla Partnera do świadczenia usług i wykonywania innych zobowiązań wynikających z Umowy; oraz (ii) zgodnie z innymi pisemnymi zaleceniami Klienta wydawanymi od czasu do czasu. Partner niezwłocznie poinformuje Klienta, jeśli w opinii Partnera polecenie lub instrukcja od Klienta narusza obowiązujące Prawo ochrony danych.
- Opis przetwarzania. Opis przedmiotu i czasu trwania Przetwarzania, jego charakter i cel, rodzaj Danych osobowych oraz kategorie Osób, których dane dotyczą, określa Opis przetwarzania.
- Ograniczenie użytkowania. Partner nie będzie: (i) sprzedawać Danych osobowych ani w inny sposób ujawniać ich w zamian za pieniądze lub inne wartościowe wynagrodzenie; (ii) Przetwarzać Danych osobowych w jakimkolwiek celu innym niż określony cel wykonywania usług lub zgodnie ze wskazówkami Klienta; (iii) Przetwarzać Danych osobowych poza bezpośrednią relacją biznesową pomiędzy Partnerem a Klientem; ani (iv) łączyć Danych osobowych z Danymi osobowymi otrzymanymi od innych osób lub w ich imieniu, ani zbierać ich od konsumentów. Partner zaświadcza, że rozumie i będzie przestrzegał ograniczeń zawartych w niniejszej sekcji.
- Żądania Osób, których dane dotyczą. Partner niezwłocznie poinformuje Klienta o wszelkich żądaniach Osoby, której dane dotyczą lub korespondencji od takiej osoby lub przesłanej w jej imieniu, które Przetwarza w związku z usługami, nie odpowiadając Osobie, której dane dotyczą z wyjątkiem potwierdzenia otrzymania żądania lub korespondencji od Osoby, której dane dotyczą (chyba że Prawo ochrony danych lub instrukcje Klienta wymagają inaczej). Partner będzie pomagał Klientowi w sposób niezbędny do umożliwienia mu odpowiedzi na żądania Osób, których dane dotyczą, w tym poprzez zapewnienie odpowiednich środków technicznych i organizacyjnych oraz wszelkich niezbędnych cech i funkcjonalności produktu. Partner zapewni taką pomoc niezwłocznie, a w każdym razie w ciągu pięciu (5) dni od zgłoszenia prośby o pomoc przez Osobę, której dane dotyczą lub Klienta. W odpowiednich przypadkach i na uzasadnione żądanie Klienta, Partner pomoże Klientowi poinformować osoby fizyczne o Przetwarzaniu Danych osobowych, w tym poprzez dostarczenie im lub skierowanie do odpowiednich Osób, których dane dotyczą do polityki prywatności lub zawiadomienia zgodnego z przepisami Prawa ochrony danych. Partner zachowuje i zapewnia Klientowi rozsądny dostęp do kompletnych i dokładnych rejestrów wniosków dotyczących Osób, których dane dotyczą, w odniesieniu do których Partner udziela pomocy.
- Tajemnica osobowa. Partner zapewni, że każdy z jego pracowników podlega obowiązkowi zachowania poufności dotyczącemu Danych osobowych.
- Bezpieczeństwo. Partner wdroży i utrzyma te procedury i praktyki dotyczące bezpieczeństwa informacji, które zostały określone w Zobowiązaniach dotyczących bezpieczeństwa informacji.
- Audyt i pomoc. Niezależnie od wszelkich postanowień dotyczących audytu zawartych w Zobowiązaniach w zakresie bezpieczeństwa informacji, Partner zobowiązany jest:
- udzielić Klientowi takich informacji i pomocy, jakie mogą być racjonalnie wymagane w celu potwierdzenia zgodności Partnera z niniejszymi Globalnymi zobowiązaniami w zakresie ochrony prywatności, w tym pomocy w przeprowadzeniu oceny wpływu ochrony danych i konsultacji z organami ochrony danych. Partner zapewni ponadto taką pomoc, jaka jest w uzasadniony sposób niezbędna Klientowi do przestrzegania przepisów Prawa ochrony danych; oraz
- na polecenie Klienta, przedstawi swój program ochrony danych oraz urządzenia Przetwarzające Dane osobowe do audytu pod kątem zgodności z niniejszymi Globalnymi zobowiązaniami w zakresie ochrony prywatności i/lub obowiązującymi przepisami Prawa ochrony danych. Audyt może być przeprowadzony przez Klienta, lub delegata wyznaczonego w jego imieniu, pod warunkiem, że delegat zgodzi się na umowę o poufności akceptowaną przez Partnera. Klient powiadomi o tym z odpowiednim wyprzedzeniem i przeprowadzi każdy taki audyt w normalnych godzinach pracy, bez nieuzasadnionego zakłócania działalności Partnera. W celu uniknięcia wątpliwości, postanowienie to nie będzie wymagało od Partnera zapewnienia jakiemukolwiek Klientowi dostępu do informacji poufnych innych Klientów Partnera.
- Incydenty bezpieczeństwa. Partner niezwłocznie, a w żadnym wypadku nie później niż w ciągu czterdziestu ośmiu (48) godzin od powzięcia wiadomości, poinformuje Klienta pocztą elektroniczną na adres cybersecurity@wbd.com w przypadku jakiegokolwiek faktycznego lub uzasadnionego podejrzenia Incydentu bezpieczeństwa. Na polecenie Klienta Partner dostarczy wszelkie informacje i pomoc zasadnie wymagane przez Klienta w celu zbadania, złagodzenia i zareagowania na Incydent bezpieczeństwa, w tym co najmniej wszelkie informacje lub pomoc wymagane przez obowiązujące Prawo ochrony danych lub niezbędne Klientowi do opracowania wszelkich powiadomień o Incydencie bezpieczeństwa. Partner zgadza się skonsultować z Klientem przed złożeniem jakichkolwiek publicznych oświadczeń lub powiadomieniem organu ochrony danych lub Osoby, której dane dotyczą w związku z Incydentem bezpieczeństwa. Partner będzie odpowiedzialny za, i zapłaci Klientowi na żądanie, za wszelkie koszty, zobowiązania, straty, szkody i wydatki (w tym honoraria adwokackie) poniesione przez Klienta w wyniku lub w związku z Incydentem bezpieczeństwa mającym wpływ na Dane osobowe Przetwarzane przez Partnera, jego partnerów, cesjonariuszy lub Podprzetwarzających.
- Podprzetwarzanie. Partner może zaangażować lub w inny sposób zezwolić Podprzetwarzającemu na Przetwarzanie Danych osobowych w jego imieniu, pod warunkiem, że:
- zawsze z każdym Podprzetwarzającym pisemne zobowiązanie, które nakłada na niego obowiązki o co najmniej takim samym poziomie ochrony co dotyczące Partnera zapisy niniejszego Globalnego zobowiązania w zakresie prywatności;
- przeprowadzi analizę due diligence w celu zapewnienia, że każdy Podprzetwarzający może wykonywać czynności niezbędne do wypełnienia przez Partnera zobowiązań wynikających z dotyczących Partnera postanowień niniejszych Globalnych zobowiązań w zakresie prywatności;
- powiadamia Klienta z wyprzedzeniem i na piśmie o każdym nowym Podprzetwarzającym, którego Partner proponuje zaangażować. Klient będzie miał trzydzieści (30) dni od otrzymania takiego powiadomienia na zgłoszenie sprzeciwu wobec zaangażowania przez Partnera nowego Podprzetwarzającego. Jeżeli Klient nie zgłosi sprzeciwu w tym terminie, Partner może zezwolić Podprzetwarzającemu na Przetwarzanie Danych osobowych. Jeśli Klient sprzeciwi się wykorzystaniu przez Podprzetwarzającego, wówczas Partner niezwłocznie odniesie się do zastrzeżeń Klienta w ciągu dziesięciu (10) dni od ich otrzymania. Jeśli Partner nie może rozwiązać problemu zastrzeżeń Klienta w sposób dla niego satysfakcjonujący w ciągu tych dziesięciu (10) dni, wówczas Klient ma prawo do natychmiastowego rozwiązania Umowy bez ponoszenia kar w dowolnym momencie po dostarczeniu Partnerowi pisemnego powiadomienia. Partner nie zezwoli nowemu Podprzetwarzającemu na Przetwarzanie Danych osobowych w ciągu: (i) trzydziestu (30) dni od przekazania powiadomienia o zamiarze skorzystania z usług nowego Podprzetwarzającego; lub (ii) jakiegokolwiek okresu, w którym sprzeciw Klienta wobec korzystania z usług Podprzetwarzającego nie został rozstrzygnięty w sposób satysfakcjonujący Klienta; oraz
- pozostaje w pełni odpowiedzialny za wszelkie Przetwarzanie Danych osobowych dokonywane przez każdego Podprzetwarzającego.
- Zbycie lub zwrot. Po rozwiązaniu lub wygaśnięciu Umowy lub zgodnie z innymi instrukcjami Klienta, Partner zgodnie z instrukcjami Klienta: (i) zwróci Klientowi (lub stronie trzeciej wskazanej przez Klienta) pełną kopię Danych osobowych, które Przetwarzał w związku z Umową, w formie i formacie rozsądnie uzgodnionym przez strony; oraz (ii) bezpiecznie pozbędzie się Danych osobowych (w tym wszystkich kopii) w swoim posiadaniu lub pod swoją kontrolą, które Przetwarzał w związku z Umową.
- Niniejsza sekcja ma zastosowanie w następującym zakresie:
- Partner samodzielnie określa cele i sposoby Przetwarzania wszelkich Danych osobowych, które Przetwarza w związku z Umową; lub
- Umowa wyraźnie stwierdza, że niniejsza sekcja ma zastosowanie.
- Powiadomienie i przejrzystość. Partner posiada i utrzymuje jasną i dostępną w widocznym miejscu politykę prywatności, która informuje Osoby, których dane dotyczą (których Dane osobowe Partner Przetwarza w związku z Umową) o tym, w jaki sposób Partner Przetwarza ich Dane osobowe i która jest zgodna ze wszystkimi obowiązującymi przepisami prawa.
- Incydenty bezpieczeństwa. Partner niezwłocznie powiadomi odpowiedniego Klienta o każdym rzeczywistym lub uzasadnionym podejrzeniu Incydentu bezpieczeństwa mającego wpływ na Dane osobowe Przetwarzane w związku z Umową, a także niezwłocznie przekaże Klientowi informacje na temat charakteru Incydentu bezpieczeństwa, dotkniętych nim Danych osobowych oraz reakcji Partnera na Incydent bezpieczeństwa i sposoby jego złagodzenia.
- Zachowanie poufności. Partner zapewni, że każdy z jego pracowników podlega obowiązkowi zachowania poufności dotyczącemu Danych osobowych.
- Niniejsza sekcja ma zastosowanie do Partnerów, gdy dochodzi do Transferu danych EOG, Transferu danych z Wielkiej Brytanii lub Innego Transferu danych.
- Transfery danych (Przetwarzający). Niniejszy ustęp ma zastosowanie w przypadku, gdy zastosowanie ma sekcja 4 (Warunki dla Przetwarzających).
- Przekazywanie danych z EOG. Jeżeli i w zakresie, w jakim Dane osobowe Przetwarzane przez Partnera podlegają Transferowi danych z EOG, Standardowe klauzule umowne EOG są włączone do niniejszego dokumentu przez odniesienie i mają zastosowanie w następujący sposób:
- Aplikacja. Partner będzie działał jako importer danych, a Klient jako eksporter danych;
- Dokowanie. Do celów klauzuli 7 z sekcji I stosuje się klauzulę o opcjonalnym dokowaniu;
- Moduły. Obowiązuje MODUŁ DWA (transfer od Administratora do Przetwarzającego);
- Instrukcje. Dla celów sekcji II, klauzuli 8.1 (moduł drugi), instrukcje dla importera danych będą instrukcjami do Przetwarzania Danych osobowych w zakresie niezbędnym do wykonywania usług i/lub dostarczania produktów przez Partnera oraz w zakresie określonym zgodnie z Umową;
- Podprzetwarzający. Dla celów sekcji II, klauzula 9 (moduł drugi), zastosowanie ma opcja 2 (a importer danych powiadamia eksportera danych o wszelkich zamierzonych zmianach z wyprzedzeniem trzydziestu (30) dni);
- Zadośćuczynienie. Do celów klauzuli 11 z sekcji II brzmienie opcjonalne nie ma zastosowania;
- Właściwość prawa. Dla celów sekcji IV, klauzule 17 i 18, w zakresie dozwolonym przez obowiązujące Prawo ochrony danych, strony zgadzają się, że ich odpowiednie zobowiązania wynikające ze Standardowych klauzul umownych EOG podlegają prawu (prawom) i jurysdykcji sądów Republiki Irlandii;
- Uzupełnienie załącznika I, część A. Załącznik I, Część A (Lista stron) uznaje się niniejszym za wypełniony: (i) danymi Klienta (jako eksportera danych); oraz (ii) danymi Partnera (jako importera danych), w każdym przypadku zgodnie z Umową;
- Uzupełnienie załącznika I, część B. Załącznik I, Część B (Opis transferu) Standardowych klauzul umownych EOG uznaje się niniejszym za wypełniony informacjami zawartymi w Opisie przetwarzania;
- Uzupełnienie załącznika I, część C. W odniesieniu do części C załącznika I (Właściwy organ nadzorczy) do Standardowych klauzul umownych EOG, w zakresie dozwolonym przez obowiązujące Prawo ochrony danych, strony wybierają organ ochrony danych Republiki Irlandii;
- Uzupełnienie załącznika II. Załącznik II do Standardowych klauzul umownych EOG (Środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne zapewniające bezpieczeństwo danych) uznaje się niniejszym za uzupełniony o postanowienia określone w Zobowiązaniach w zakresie bezpieczeństwa informacji; oraz
- Konflikt terminów. W przypadku jakiejkolwiek niespójności lub sprzeczności między Standardowymi klauzulami umownymi EOG a niniejszą sekcją, przepisy należy interpretować w sposób zapewniający największą ochronę Osobom, których dane dotyczą.
- Interpretacja Standardowych klauzul umownych EOG dla Krajów Ograniczających. Jeśli ujawnienie przez Klienta Danych osobowych Partnerowi stanowi Inny Transfer danych, Standardowe klauzule umowne EOG są włączone do niniejszego dokumentu przez odniesienie i mają zastosowanie, jak określono powyżej w niniejszym punkcie sekcji 6, z tym że: (i) odniesienia w Standardowych klauzulach umownych EOG do „UE”, „Unii”, „państwa członkowskiego UE” lub „państwa członkowskiego” odnoszą się zamiast tego do tego Kraju Ograniczającego; (ii) odniesienia do „rozporządzenia (UE) 2016/679” lub „tego rozporządzenia” odnoszą się zamiast tego do przepisów Prawa ochrony danych tego Kraju Ograniczającego, a odniesienia do konkretnych przepisów lub artykułów RODO zastępuje się najbliższym równoważnym przepisem lub artykułem ustawy o ochronie danych kraju ograniczającego; (iii) „organ nadzorczy” odnosi się do organu ochrony danych w tym Kraju Ograniczającym; (iv) odniesienia do „Klauzul” oznaczają niniejszy ustęp w wersji włączającej i modyfikującej Klauzule.
- Transfery danych z Wielkiej Brytanii. Jeżeli i w zakresie, w jakim Dane osobowe Przetwarzane przez Partnera podlegają Transferowi danych z Wielkiej Brytanii, Dodatek UK do SCC jest włączony do niniejszego dokumentu przez odniesienie i ma zastosowanie w następujący sposób:
- Uzupełnienie tabeli 1. Tabela 1 Dodatku UK do SCC jest uzupełniona o dane Klienta (jako eksportera danych) oraz dane Partnera (jako importera danych), zgodnie z postanowieniami Umowy. „Data rozpoczęcia” to data rozpoczęcia, data wejścia w życie lub równoważna data Umowy. „Kluczową osobą kontaktową” dla Klienta jest „Dyrektor ds. prywatności” lub osoba przez niego delegowana, z którą można się skontaktować pod adresem wbdprivacy@wbd.com. Dane „kluczowej osoby kontaktowej” dla Partnera będą od czasu do czasu przekazywane Klientowi, łącznie z jej nazwą stanowiska i adresem e-mail.
- Uzupełnienie tabel 2 i 3. Tabelę 2 Dodatku UK do SCC wypełnia się poprzez wybranie „Zatwierdzonego Unijnego SCC, łącznie z Informacją Dodatkową i tylko z następującymi modułami, klauzulami lub opcjonalnymi postanowieniami Zatwierdzonych Unijnych SCC wprowadzonych w życie dla celów niniejszego Dodatku”. Dla celów tabeli 2 i tabeli 3 Dodatku UK do SCC, „Zatwierdzone Unijne SCC” są wypełnione w sposób określony powyżej w niniejszym ustępie sekcji 6.
- Uzupełnienie tabeli 4. Tabelę 4 Dodatku UK do SCC wypełnia się poprzez wybór „żadna ze stron”.
- Konflikt terminów. W przypadku jakiejkolwiek niespójności lub sprzeczności pomiędzy Dodatkiem UK do SCC a niniejszymi Globalnymi zobowiązaniami w zakresie ochrony prywatności, pierwszeństwo ma Dodatek UK do SCC.
- Transfery danych (Administratorzy). Niniejszy ustęp ma zastosowanie w przypadku, gdy zastosowanie ma sekcja 5 (Warunki dla Administratorów).
- Przekazywanie danych z EOG. Jeżeli i w zakresie, w jakim Dane osobowe Przetwarzane przez Partnera podlegają Transferowi danych z EOG, Standardowe klauzule umowne EOG są włączone do niniejszego dokumentu przez odniesienie i mają zastosowanie w następujący sposób:
- Aplikacja. Partner będzie działał jako importer danych, a Klient jako eksporter danych;
- Dokowanie. Do celów klauzuli 7 z sekcji I stosuje się klauzulę o opcjonalnym dokowaniu;
- Moduły. Obowiązuje MODUŁ JEDEN (transfer od Administratora do Administratora);
- Zadośćuczynienie. Do celów klauzuli 11 z sekcji II brzmienie opcjonalne nie ma zastosowania;
- Właściwość prawa. Dla celów sekcji IV, klauzule 17 i 18, w zakresie dozwolonym przez obowiązujące Prawo ochrony danych, strony zgadzają się, że ich odpowiednie zobowiązania wynikające ze Standardowych klauzul umownych EOG podlegają prawu (prawom) i jurysdykcji sądów Republiki Irlandii;
- Uzupełnienie załącznika I, część A. Załącznik I, Część A (Lista stron) uznaje się niniejszym za wypełniony: (i) danymi Klienta (jako eksportera danych); oraz (ii) danymi Partnera (jako importera danych), w każdym przypadku zgodnie z Umową;
- Uzupełnienie załącznika I, część B. Załącznik I, Część B (Opis transferu) Standardowych klauzul umownych EOG uznaje się niniejszym za wypełniony informacjami zawartymi w Opisie przetwarzania;
- Uzupełnienie załącznika I, część C. W odniesieniu do części C załącznika I (Właściwy organ nadzorczy) do Standardowych klauzul umownych EOG, w zakresie dozwolonym przez obowiązujące Prawo ochrony danych, strony wybierają organ ochrony danych Republiki Irlandii;
- Uzupełnienie załącznika II. Załącznik II do Standardowych klauzul umownych EOG (Środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne zapewniające bezpieczeństwo danych) uznaje się niniejszym za uzupełniony o postanowienia określone w Zobowiązaniach w zakresie bezpieczeństwa informacji; oraz
- Konflikt terminów. W przypadku jakiejkolwiek niespójności lub sprzeczności między Standardowymi klauzulami umownymi EOG a niniejszą sekcją, przepisy należy interpretować w sposób zapewniający największą ochronę Osobom, których dane dotyczą.
- Interpretacja Standardowych klauzul umownych EOG dla Krajów Ograniczających. Jeśli i w zakresie, w jakim ujawnienie przez Klienta Danych osobowych Partnerowi stanowi Inny Transfer danych, Standardowe klauzule umowne EOG są włączone do niniejszego dokumentu przez odniesienie i mają zastosowanie, jak określono powyżej w niniejszym punkcie sekcji 6, z tym że: (i) odniesienia w Standardowych klauzulach umownych EOG do „UE”, „Unii”, „państwa członkowskiego UE” lub „państwa członkowskiego” odnoszą się zamiast tego do tego Kraju Ograniczającego; (ii) odniesienia do „rozporządzenia (UE) 2016/679” lub „tego rozporządzenia” odnoszą się zamiast tego do przepisów Prawa ochrony danych tego Kraju Ograniczającego, a odniesienia do konkretnych przepisów lub artykułów RODO zastępuje się najbliższym równoważnym przepisem lub artykułem ustawy o ochronie danych kraju ograniczającego; (iii) „organ nadzorczy” odnosi się do organu ochrony danych w tym Kraju Ograniczającym; (iv) odniesienia do „Klauzul” oznaczają niniejszy ustęp w wersji włączającej i modyfikującej Klauzule.
- Transfery danych z Wielkiej Brytanii. Jeżeli i w zakresie, w jakim Dane osobowe Przetwarzane przez Partnera podlegają Transferowi danych z Wielkiej Brytanii, Dodatek UK do SCC jest włączony do niniejszego dokumentu przez odniesienie i ma zastosowanie w następujący sposób:
- Uzupełnienie tabeli 1. Tabela 1 Dodatku UK do SCC jest uzupełniona o dane Klienta (jako eksportera danych) oraz dane Partnera (jako importera danych), zgodnie z zapisami Umowy. „Data rozpoczęcia” to data rozpoczęcia, data wejścia w życie lub równoważna data Umowy. „Kluczową osobą kontaktową” dla Klienta jest „Dyrektor ds. prywatności” lub osoba przez niego delegowana, z którą można się skontaktować pod adresem wbdprivacy@wbd.com. Dane „kluczowej osoby kontaktowej” dla Partnera będą co pewien czas przekazywane Klientowi, łącznie z jej nazwą stanowiska i adresem e-mail.
- Uzupełnienie tabel 2 i 3. Tabelę 2 Dodatku UK do SCC wypełnia się poprzez wybranie „Zatwierdzonego Unijnego SCC, łącznie z Informacją Dodatkową i tylko z następującymi modułami, klauzulami lub opcjonalnymi postanowieniami Zatwierdzonych Unijnych SCC wprowadzonych w życie dla celów niniejszego Dodatku”. Dla celów tabeli 2 i tabeli 3 Dodatku UK do SCC, „Zatwierdzone Unijne SCC” są wypełnione w sposób określony powyżej w niniejszym ustępie sekcji 6.
- Uzupełnienie tabeli 4. Tabelę 4 Dodatku UK do SCC wypełnia się poprzez wybór „żadna ze stron”.
- Konflikt terminów. W przypadku jakiejkolwiek niezgodności lub sprzeczności pomiędzy Dodatkiem UK do SCC a niniejszymi Globalnymi zobowiązaniami w zakresie ochrony prywatności, pierwszeństwo ma Dodatek UK do SCC.
- Dodatkowe przepisy o transferze transgranicznym. Niniejszy ustęp ma zastosowanie, jeżeli Dane osobowe Przetwarzane przez Partnera są przedmiotem Transferu danych z EOG, Transferu danych z Wielkiej Brytanii lub Innego Transferu danych (i w zakresie zależnym od rodzaju transferu).
Środki uzupełniające
- Strony przyjmują do wiadomości i zgadzają się, że wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-311/18 wyjaśnia, że dodatkowe środki mogą być konieczne, aby zapewnić, że Dane osobowe, które były przedmiotem Transferu danych z EOG lub Transferu danych z Wielkiej Brytanii, mają zapewniony zasadniczo równoważny poziom ochrony do ochrony, którą otrzymują, gdy są Przetwarzane na terytorium ich pochodzenia (oprócz zabezpieczeń zawartych w Standardowych klauzulach umownych EOG). W związku z tym strony uzgodniły środki określone w poniższych sekcjach 6.4 lit. b)-g) jako środki uzupełniające, mające pomóc w zapewnieniu takiej zasadniczej równoważności.
- Jeżeli Partner dowie się o wniosku lub żądaniu ze strony organów ścigania, organów regulacyjnych, sądowych lub rządowych („Organ”) o uzyskanie dostępu lub kopii niektórych lub wszystkich Danych osobowych Przetwarzanych w związku z Umową, niezależnie od tego, czy na zasadzie dobrowolności czy obowiązku, Partner:
- niezwłocznie powiadomi Klienta o takim żądaniu władz;
- w przypadku gdy zastosowanie ma sekcja 4 (Warunki dla Przetwarzających), poinformuje organizację, że Partner jest Przetwarzającym Dane osobowe i że Klient nie upoważnił go do ujawnienia takich Danych osobowych Organowi;
- poinformuje Organ, że wszelkie wnioski lub żądania dostępu do takich Danych osobowych powinny być zgłaszane Klientowi (jako Administratorowi) lub doręczane mu na piśmie; oraz
- z zastrzeżeniem sekcji 6.4(c), nie zapewni Organowi dostępu do takich Danych osobowych, chyba uzyska uprzednie pisemne upoważnienie od Klienta.
- Niezależnie od postanowień sekcji 6.4(b)(iv), Partner może, bez uprzedniego pisemnego upoważnienia Klienta, ujawnić Organowi Dane osobowe po otrzymaniu wniosku lub żądania od takiego Organu, pod warunkiem, że (o ile nie jest to zabronione przez prawo):
- Partner powiadomi Klienta z odpowiednim wyprzedzeniem o takim wniosku lub żądaniu, aby dać Klientowi odpowiednią możliwość wniesienia sprzeciwu lub ubiegania się o nakaz ochrony lub inne odpowiednie środki zaradcze;
- Partner w rozsądny sposób będzie współpracować z Klientem, na koszt Klienta, aby Klient mógł sprzeciwić się lub ubiegać się o nakaz ochrony lub inne odpowiednie środki zaradcze; oraz
- Partner w każdym przypadku ujawni tylko tę część Danych osobowych, do której ujawnienia jest prawnie zobowiązany.
- Partner ujawniając Dane osobowe Organowi, ujawni takie Dane osobowe tylko w zakresie, w jakim jest do tego prawnie zobowiązany i tylko zgodnie z obowiązującym procesem prawnym.
- Partner nie będzie świadomie ujawniać Danych osobowych w sposób masowy lub niedyskretny, wykraczający poza to, co jest konieczne i proporcjonalne w demokratycznym społeczeństwie.
- Partner wdroży pisemną politykę dotyczącą żądania Danych osobowych od Organów oraz ją utrzyma i jej będzie przestrzegał. Polityka taka powinna co najmniej zabraniać:
- masowego lub bezkrytycznego ujawniania Danych osobowych dotyczących Osób, których dane dotyczą w Europie; oraz
- ujawniania Organowi Danych osobowych dotyczących Osób, których dane dotyczą w Europie bez wezwania, nakazu, pisma, dekretu, wezwania lub innego prawnie wiążącego nakazu, który zmusza do ujawnienia takich Danych osobowych.
- Partner będzie posiadał i utrzymywał, zgodnie z dobrą praktyką branżową, środki ochrony Danych osobowych przed przechwyceniem (w tym w trakcie przekazywania od Klienta do Partnera oraz pomiędzy różnymi systemami i usługami). Powyższe obejmuje posiadanie i utrzymywanie ochrony sieci w celu uniemożliwienia atakującym przechwytywania danych oraz szyfrowanie danych podczas ich przesyłania w celu uniemożliwienia atakującym odczytywania danych.
Dodatkowe przepisy dotyczące przekazywania danych
- Partner zgadza się współpracować w dobrej wierze w celu wdrażania dodatkowych dokumentów i zastosowania dodatkowych zabezpieczeń lub ograniczenia Przetwarzania do pewnych terytoriów, co Klient może uznać za konieczne w celu przeprowadzenia Transferów danych z EOG, Transferów danych z Wielkiej Brytanii lub Innego Transferu danych (odpowiednio).
- Jeżeli Partner będzie w dowolnym momencie Przetwarzać Dane osobowe pochodzące z kraju, który ogranicza przekazywanie Danych osobowych do innej jurysdykcji nie uznanej za odpowiednią do odbioru takich Danych osobowych, wówczas Partner, na polecenie Klienta:
- podejmie wszelkie niezbędne działania i zawrze umowy, jakie mogą być konieczne na mocy obowiązującego Prawa ochrony danych w takim kraju, aby zalegalizować wszelkie Przetwarzanie; oraz
- zapewni odpowiedni poziom ochrony Danych osobowych Klienta.
- W przypadku, gdy jakikolwiek właściwy organ ochrony danych uzna, że mechanizm transferu danych, na którym opierają się strony, jest nieważny, lub jakikolwiek właściwy organ ochrony danych lub obowiązujące prawo wymaga zawieszenia lub ograniczenia transferu Danych osobowych do określonej jurysdykcji, wówczas Klient może, według własnego uznania, zażądać od Partnera zaprzestania Przetwarzania Danych osobowych, a Partner będzie współpracować z Klientem w dobrej wierze w celu ułatwienia wykorzystania alternatywnego mechanizmu transferu danych, wdrożenia dodatkowych dokumentów, zastosowania dodatkowych zabezpieczeń lub ograniczenia Przetwarzania do określonych jurysdykcji.
- Niniejsza sekcja dotyczy wszystkich Partnerów.
- Oprócz wszelkich zobowiązań odszkodowawczych Partnera określonych w Umowie, Partner będzie bronił, zabezpieczał i chronił Klienta przed wszelkimi roszczeniami osób trzecich, działaniami, kosztami, zobowiązaniami, stratami, szkodami i wydatkami (w tym honorariami adwokatów) poniesionymi przez Klienta wynikającymi z lub powiązanymi z (i) Incydentem bezpieczeństwa; lub (ii) naruszeniem niniejszych Globalnych zobowiązań w zakresie ochrony prywatności przez Partnera lub podmioty powiązane z Partnerem, Podprzetwarzających (w tym Podprzetwarzających wyznaczonych przez podmioty powiązane z Partnerem) i cesjonariuszy, w tym bez ograniczeń od roszczeń lub działań organu ochrony danych lub osoby, której dane dotyczą.
- Niniejsza sekcja ma zastosowanie w zakresie, w jakim Partner:
- zapewnia Klientowi SI bądź dostęp do SI w myśl postanowień Umowy lub
- używa SI do zapewnienia Usług w myśl postanowień całości bądź części Umowy.
- Partner ma obowiązek przekazania informacji dotyczących wykorzystania SI przez Partnera w uzasadnionym zakresie żądanym przez Klienta w związku z wypełnianiem zobowiązań Partnera wynikających z Umowy, w tym w celu umożliwienia Klientowi przeprowadzenia oceny wpływu na ochronę danych oraz oceny stronniczości i uprzedzeń SI.
- Partner oświadcza, iż: (i) wszelkie Dane szkoleniowe dla jakiejkolwiek sztucznej inteligencji zapewnianej Klientowi w związku z Umową bądź wykorzystywane przez Partnera w celu wywiązania się z obowiązków nałożonych na niego w myśl Umowy: (A) zostały pozyskane zgodnie z obowiązującymi przepisami i bez naruszania praw jakichkolwiek stron trzecich; (B) nie zawierały i nie zawierają Danych osobowych; (ii) Partner zobowiązuje się nie używać (a także nie ułatwiać stronom trzecim używania ani nie zezwalać im na używanie) Danych osobowych pozyskanych w związku z Umową w celu szkolenia, doskonalenia bądź usprawniania jakiejkolwiek sztucznej inteligencji lub wydawania jej poleceń pozwalających uzyskać Treści wygenerowane przez SI; oraz że (iii) Partner nie korzysta ani nie ułatwia Klientowi korzystania ze Zautomatyzowanego podejmowania decyzji podczas wywiązywania się z obowiązków nałożonych na niego w myśl postanowień niniejszej Umowy.
ZOBACZ POPRZEDNIE WERSJE